Op dinsdag, de U.S. Agentschap voor cyberbeveiliging en infrastructuurbeveiliging (CISA) uitgegeven acht Industrial Control Systems (ICS) adviezen, waarschuwing voor grote gebreken, zoals CVE-2023-1133, bij Delta Electronics’ en de apparatuur van Rockwell Automation. In het bijzonder, Delta-elektronica’ InfraSuite-apparaatmaster, software voor realtime apparaatbewaking, heeft 13 beveiligingsproblemen, alle eerdere versies 1.0.5 wordt beïnvloed.
Als deze kwetsbaarheden worden misbruikt, een niet-geautoriseerde aanvaller kan eenvoudig toegang krijgen tot bestanden en inloggegevens, verhoogde privileges krijgen, en op afstand willekeurige code uitvoeren, aldus CISA.
CVE-2023-1133 Technisch overzicht
De ernstigste kwetsbaarheid is CVE-2023-1133 (CVSS-score: 9.8), Dit gebeurt wanneer de software niet-geverifieerde UDP-pakketten accepteert en de inhoud deserialiseert, dus een afstandsbediening geven, niet-geverifieerde aanvaller de mogelijkheid om willekeurige code uit te voeren.
De Device-status-service in Delta Electronics InfraSuite Device Master-versies ouder dan 1.0.5 bevatten een kwetsbaarheid die op poort luistert 10100/ UDP zonder de ontvangen UDP-pakketten te verifiëren. Hierdoor kan een niet-geverifieerde aanvaller de inhoud van deze pakketten deserialiseren en op afstand willekeurige code uitvoeren.
CISA waarschuwt voor andere kwetsbaarheden in Rockwell Automation ThinManager ThinServer
CISA heeft gewaarschuwd voor twee andere deserialisatiefouten, CVE-2023-1139 (CVSS-score: 8.8) en CVE-2023-1145 (CVSS-score: 7.8), kan worden gebruikt om externe code uit te voeren. Deze kwetsbaarheden zijn ontdekt en gerapporteerd aan CISA door Piotr Bazydlo en een anonieme beveiligingsonderzoeker.
ThinManager ThinServer van Rockwell Automation is kwetsbaar voor twee path traversal-fouten, gecategoriseerd als CVE-2023-28755 (CVSS-score: 9.8) en CVE-2023-28756 (CVSS-score: 7.5). Deze kwetsbaarheden treffen versies 6.x tot 10.x, 11.0.0 aan 11.0.5, 11.1.0 aan 11.1.5, 11.2.0 aan 11.2.6, 12.0.0 aan 12.0.4, 12.1.0 aan 12.1.5, en 13.0.0 aan 13.0.1.
De ernstigste van deze problemen is dat een niet-geverifieerde externe aanvaller willekeurige bestanden kan uploaden naar de map waarin de ThinServer.exe is geïnstalleerd. Ze kunnen ook CVE-2023-28755 bewapenen om bestaande uitvoerbare bestanden te overschrijven met kwaadaardige versies, mogelijk leidend tot uitvoering van externe code.
CISA heeft gewaarschuwd dat misbruik van deze kwetsbaarheden een aanvaller de mogelijkheid kan geven om op afstand code uit te voeren op het doelsysteem of ervoor kan zorgen dat de software crasht. Ter bescherming tegen mogelijke beveiligingsrisico's, gebruikers moeten upgraden naar een van de versies 11.0.6, 11.1.6, 11.2.7, 12.0.5, 12.1.6, of 13.0.2. Bovendien, omdat ThinManager ThinServer-versies 6.x tot 10.x niet langer worden ondersteund, gebruikers moeten upgraden naar een nieuwere versie. Als een voorzorgsmaatregel, er wordt gesuggereerd dat toegang op afstand van poort 2031/TCP beperkt is tot bekende thin clients en ThinManager-servers.
Wat is een beveiligingslek met betrekking tot deserialisatie?
Onveilige deserialisatie, ook wel bekend als onveilige deserialisatie, is een beveiligingsprobleem dat optreedt wanneer een toepassing verkeerd ingedeelde en niet-vertrouwde gegevensinvoer deserialiseert. Als uitgebuit, dit beveiligingslek kan worden gebruikt om de controle over de logische stroom van de toepassing over te nemen en mogelijk schadelijke code uit te voeren.
Problemen met onveilige deserialisatie kunnen optreden wanneer een kwaadwillende persoon schadelijke gegevens kan doorgeven aan gegevens die door een gebruiker zijn verstrekt, die vervolgens wordt gedeserialiseerd. Dit kan leiden tot willekeurige objectinjectie in de toepassing, mogelijk verandert hoe het bedoeld was om te functioneren.